In zwei Artikeln für das Magazin "Berliner Wirtschaft" der Industrie- und Handelskammer Berlin und das Online-Portal "Gründerszene" hat sich RA Dr. Verweyen mit der neuen Datenschutzgrundverordnung DSGVO sowie jüngsten Maßnahmen der Datenschutzbeauftragen gegen diverse Unternehmen aus unterschiedlichen Branchen befasst. Mehrfach wurden in den letzten Monaten hefige Bußgelder, teilweise in zweistelliger Millionenhöhe verhängt, u.a. gegen die Deutschen Wohnen, die österreichische Post, Delivery Hero und N26, 1und1 u.a.m. Ein guter Startpunkt dafür ist die Erarbeitung oder Aktualisierung eines Verzeichnisses von Verarbeitungstätigkeiten (VVT) und die damit einhergehende systematische Erfassung aller Datenverarbeitungsprozesse des eigenen Unternehmens (alle Datenverarbeitungsvorgänge mit ihrem Zweck, den jeweils betroffenen Personenkreisen wie Mitarbeiter und Nutzer, den verarbeiteten Daten wie z.B. Name, Adresse, Geburtsdatum und Sozialversicherungsdaten, den Datenempfängern wie Steuerbüro und Finanzamt, Löschfristen und den zur Sicherung getroffenen TOMs). Einmal erfasst, kann dann bewertet werden, ob die strengen Anforderungen der DSGVO erfüllt werden, oder ob noch Anpassungen, z.B. die Bestellung eines Datenschutzbeauftragten oder verschiedene technisch-organisatorische Maßnahmen (TOMs), erforderlich sind.
Dem lagen meist Versäumnisse zugrunde, die wohl vermeidbar gewesen wären, wenn die betroffenen Unternehmen rechtzeitig ihre Hausaufgaben gemacht (Stichtag für die Umsetzung der Vorgaben der DSGVO war der 25. Mai 2018) und bestimmte zwingende ToDos (Stichworte: VTT, TOMs, DSFA, …) umgesetzt hätten. ... mehr
Die Fälle zeigen auch, dass man im Fall des Falles mit den Datenschutzbehörden kooperieren sollte (wobei wir Sie gerne unterstützen!). Zudem sind unbedingt die vielfältigen Melde- und Informationspflichten der DSGVO und des BDSG zu beachten. So sind z.B. sog. Incidents, also Verletzungen des Schutzes personenbezogener Daten, in höchstens 72 Stunden zu melden, es sei denn, die Verletzung birgt voraussichtlich kein erhebliches Risiko.